Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

nss_ldap Race Condition : Faille de Sécurité

15/11/2007 13H06
Référence Secunia : SA27670 
Date de publication : 2007-11-15

Risque : Non Critique. Niveau 2 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
nss_ldap 2.x

Référence CVE :
CVE-2007-5794


Description :
Une faille de sécurité a été rapportée dans nss_ldap, qui pourrait être exploitée par des personnes malintentionnées à manipuler certaines données.

Le problème de sécurité est causé du fait que le library traite improprement calls fait depuis applications, qui sont lié avec le pthreads library et fork après the call à un nss_ldap function. Cela pourrait être exploité à retourner wrong data à un processus via the shared LDAP connection.

Le problème de sécurité est rapporté en versions inférieures à 259.


Solutions :
Mettre à jour en version 259.
http://www.padl.com/download/nss_ldap.tgz


Vulnérabilité découverte par :

Originally a rapporté comme un Dovecot issue par Josh Burley.

Référence :
http://www.dovecot.org/list/dovecot/2005-March/006345.html
https://bugzilla.redhat.com/show_bug.cgi?id=367461




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.